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Bi, brief van 20 februari 2012 heeft u het College bescherming persoonsgegevens (CBP) verzocht 
om mgevolge artikel 51, tweede lid Wet bescherming persoonsgegeven! ^PUeadvLlS^ 
het wetsvoorstel elektronische gegevensuitwisseling iï de zoorder te noemen- hel 



over 



Met hei navolgende advies voldoet het CBP aan uw verzoek. 
Inhoud van het wetsvoorstel 

Het wetsvoorstel beoogt de patiënt meer rechten te bieden bij elektronische dossiervorming en 
gegevensuitwisseling door zorgaanbieders. 6 

De belangrijkste normen in het wetsvoorstel betreffen het toesterrvmingsvereiste voor 
gegevensuitwisseling, informatieverstrekking aan de patiënt, inzage en afschrift van de 
pattentgegevens en het verbod op toegang tot zorgsystemen door de zorgverzekeraar. 

In de Memorie van Toelichting wordt een amvb op grond van artikel 26 Wbp aangekondigd In 
deze amvb zullen de beveiligingsaspecten worden geregeld. 

Het advies op hoofdlijnen 

Het CBP adviseert: 

-in de redactie van artikel 23c lid 2 Wcz/artikel 15d lid 2 Wbsn-z danwel in de Memorie van 
toelichting de verhouding van dit artikel tot het (bestaande) artikel 7-454 lid 2 BW te 
verduidelijken, opdat het onderscheid tussen de gegevens die de zorgverlener noteert en de 
aanvullingen van de patiënt onverminderd helder blijft, 

- in de boven bedoelde amvb referenties aan de specifiek voor de zorg ontwikkelde 
beveiligingsnormen NEN 7510-7513 op te nemen en aandacht te schenken aan de 
beveiligingsaspecten van elektronische inzage, en 

- in de Memorie van Toelichting in te gaan op de overige door het CBP gemaakte opmerkingen 
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Conclusie 



Het CBF adviseert u aan het vorenstaande op passende wijze aandacht te schenken. 
Tenslotte 
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Hoogachtend 

Het College bescherming persoonsgegeven* 
Voor het College, 



Mr. W.B/M. Tomösen 
Lid van het College 



Bijlage bij de brief van het College bescherming persoonsgegevens van 4 april 2012 

Advies van het College bescherming persoonsgegevens (CBP) over het wetsvoorstel 
fctektronische gegevensuitwisseling in de zorg. 



1. Inleiding 

Op 20 februari 2012 ontving het CBP de adviesaanvraag inzake het wetsvoorstel 
elektronische gegevensuitwisseling in de zorg. Het wetsvoorstel beoogt de patiënt meer 
rechten te b,eden bij elektronische dossiervorming en gegevensuitwisseling door 
zorgaanbieders. " 

Inhoud vnn het wetsvoorstel 

De - in dit kader - belangrijkste normen in het wetsvoorstel zijn: 

1. De zorgaanbieder stelt gegevens via een elektronisch uitwisselingssysteem alleen 
beschikbaar aan anderen indien de patiënt hiervoor toestemming heeft gegeven (artikel 23a 
ld 1 Wet cliëntenrechten zorg (verder te noemen: Wcz)) /artikel 15a lid 1 Wet bsn in de zor E 
(verder te noemen: Wbsn-z)). b 

2. De pa Hen t kan bepaalde {categorieën van) zorgaanbieders uitsluiten van raadpleging 
(artikel 23a lid 2 Wcz /artikel ISa Hd 2 Wbsn-z). 

tut toestemmin S moet worden vastgelegd in het systeem van de zorgaanbieder (artikel 
23b hd 2 Wcz /artikel 15c lid 2 Wbsn-z). 

4. De zorgaanbieder informeert de patiënt over zijn rechten bij elektronische 
gegevensuitwisseling en over hoe hij zijn rechten kan uitoefenen (artikel 23b lid 1 
Wcz/artikel 15c lid 1 Wbsn-z). 

5. De zorgaanbieder verschaft de patiënt kosteloos elektronisch inzage in en afschrift van zijn 
gegevens (artikel 23c Wcz/artikel 15d Wbsn-z). 

6. In het afschrift wordt desgewenst ook de log-informatie opgenomen (artikel 23d 
Wcz/artikel 15e Wbsn-z). 

7. Op verzoek van de patiënt worden de medicatiegegevens aangevuld met gegevens over 
zelfmedicatie (artikel 23c lid 2 Wcz/artikel 15d Hd 2 Wbsn-z, tweede zin). " 

8. De zorgverzekeraar heeft geen toegang tot het zorgsysteem (artikel 25a Wcz/artikel 15f 
Wbsn-z). 

De beveiligingseisen zullen worden geregeld in een amvb op grond van artikel 26 Wbp 
(Memorie van Toelichting p. 2). 

De voorgestelde wijzigingen in ontwerp- Wcz enerzijds en Wbsn-z anderzijds hebben een 
identieke strekking. Het is echter niet de bedoeling beide wetten te wijzigen; de Wcz bestaat 
thans nog slechts als wetsvoorstel 32 402, en, indien wetsvoorstel 32 402 eerder in werking 
treedt dan het onderhavige wetsvoorstel elektronische gegevensuitwisseling in de zorg, dan 
wijzigt de Wcz; in het andere geval wijzigt de Wbsn-z (artikel V en Memorie van Toelichting 
p. 4, 11). 5 
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2. Beoord eling van h et wetsvooreh»! 



Dit wetsvoorstel moet worden beschouwd als een nadere uitwerking van de toepasselijke 
normen zoals opgenomen in de Wbp en als een aanvulling op de artLen %£5£ÏÏS! 

Een adequate interpretatie van de relevante nonnen uit de aan de Wbp ten grondslag 
hggende Richtlijn 95/46/EG is gegeven in "Werking document on thLZfZTa? 
personal data relating to health in etectronic health records fEHRl" iKmuZrZ,^ 
WP 131) van de Article 29 Data Protection Working ^v^JS^Ï}^ 

In WP 131 worden onder andere de volgende beginselen op het gebied van 
gegevensbescherming in verband gebracht met elektronische gegevensuitwisseling in de 

a. doelbinding: dit beginsel verbiedt onder meer verdere verwerking die onverenigbaar is 
met het doei of de doeleinden waarvoor de gegevens zijn verzameld ««rugbaar * 

b. kwaliteit van de gegevens: de gegevens moeten juist en nauwkeurig zijn 

c. formatieplicht: de voor de verwerking verantwoordelijke moet bepaalde informatie 
verstrekken aan de betrokkene, zoals de identiteit van de voor de verwerking 
verantwoordelijke, de doeleinden van de verwerking, de ontvangers van de gegevens en het 
bestaan van een recht op toegang; 5 

d. recht van toegang van de betrokkene; 

e. verplichhngen in verband met de beveiliging: de voor de verwerking verantwoordelijke 
moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te 
beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, en niet-toegelaten 
verspreiding. De maarregelen kunnen van technische of organisatorische aard zijn. 

Daarnaast wordt eraan herinnerd dat artikel 8 lid 1 van Richtlijn 95/46/EG (in Nederland 
geïmplementeerd in artikel 16 Wbp) in het algemeen de verwerking van persoonsgegevens 
d5e de Sf oadheid betreffen verbiedt. Daarop bestaan echter uitzonderingen. De in casu 
meest relevante uitzondering betreft de situatie waarin de patiënt toestemming voor de 
verwerking heeft gegeven (artikel 8 lid 2 sub a Richtlijn 95/46/EG; artikel 23 lid 1 sub a 
Wbp) (f). 



a. doelbinding (artikel 9 Wbp} 

Bij elektronische gegevensuitwisseling in de zorg zal de raadpleging van de in het kader m 
de zorgverlening vastgelegde medische gegevens in principe eveneens de verlening van 
zorg tot doei moeten hebben. Het verbieden van toegang door zorgverzekeraars past goed 
bi, dit uitgangspunt. Wel dient te worden opgemerkt dat zon verbod ook anderen zou 
kunnen regarderen . 



1 De WP29 is ingesteld ingevolge artikel 29 van 4e Richtlijn 95/46/EG. Het is het onafhankelijk FU- 
adviesorgaan inzake gegcivnsbescberming en privacy. 
Men denke hier bijvoorbeeld aan de bedrijfsarts, de verzekeringsarts en de keuringsarts. 



b. hualiteit van de gegevens (artikel 77 lid 2 Wbp) 

De medicatiegegevens worden, volgens het wetsvoorstel, op verzoek van de patiënt 
aangevuld met gegevens over zelfmedicatie. Deze bepaling raakt aan artikel 7 454 lid 2 BW 
Toepassing van artikel 7:454 lid 2 BW leidt tot een duidelijk onderscheid tussen de gegevens 
die de zorgverlener noteert en de verklaring van de patiënt. De vraag is hoe het voorgestelde 
artikel 23c lid 2 Wcz /artikel 15d lid 2 Wbsn-z, tweede zin zich precies verhoudt tot artikel 
7:454 lid 2 BW. In elk geval zal voor de raadplegende zorgverlener steeds helder moeten zijn 
wat de bron is van de opgenomen patiëntgegevens. 

c. informatieplicht (artikel 33 en 34 Wbp) 

Het CBP begrijpt artikel 23b lid 1 Wcz/artikel 15c lid 1 Wbsn-z als een aanvulling op de 
informatieplicht ingevolge artikel 33 en 34 Wbp. In zon lezing ziet het CBP zeker 
toegevoegde waarde in de voorgestelde bepaling. 

d. Toegang van de patiënt tot zijn gegevens (artikel 35 Wbp; artikel 7:456 BW) 

De zorgaanbieder verschaft de patiënt kosteloos op elektronische wijze inzage in en afschrift 
van zijn gegevens {artikel 23c Wcz/artikel 15d Wbsn-z). In het afschrift wordt desgewenst 
ook de log'informatie opgenomen (artikel 23d Wcz/artikel 15e Wbsn-z). 

Hier past een soortgelijke opmerking als onder c. Artikel 35 Wbp en artikel 7456 BW 
bevatten reeds gedetailleerde voorschriften over het inzagerecht. De toegevoegde waarde 
van artikel 23c Wcz/artikel 15d Wbsn-z is dat inzage en afschrift kosteloos zijn Voorts 
wordt buiten twijfel gesteld dat de patiënt ook de logging mag bekijken. Of de (beperking 
van) de omvang van dit inzagerecht in artikel 23c Wcz/artikel I5d Wbsn-z toelaatbaar is 
hangt af van de aard van de niet in dit artikel genoemde maar feitelijk wei aanwezige 
loggegevens en de relevantie daarvan voor de betrokkene. Hierop en op de elektronische 
wijze van verstrekking wordt nader ingegaan onder e. 

e. Beveiliging (artikel 13 Wbp) 
bgging 

In artikel 23d Wcz/artikel 15e Wbsn-z wordt aangegeven welke loggegevens de patiënt mag 
inzien. Het CBP gaat er vanuit dat dit slechts een deel is van hetgeen in de prakrijk 
daadwerkelijk wordt gelogd en dat voor dit laatste de NEN 7513 norm zal worden 
voorgeschreven. 

elektronische inzage 

Zoals bekend mag worden verondersteld kleven er beveiligingsrisico's aan elektronische 
toegang door de patiënt tot zijn medische gegevens. Zie hiervoor onder andere de brief van 
het CBP aan de minister van VWS van 26 augustus 2008 (kenmerk: z2008-1021) en de brief 
van de minister van VWS aan de Tweede Kamer van 9 september 201 3 . 

Naar het oordeel van het CBP dient wettelijke regeling van elektronische inzage vooraf te 
worden gegaan door danwel gepaard te gaan aan wettelijke regeling van de daaraan te 
stellen beveiligingseisen. 



Kamerstukken li 2010/11, 27 529, nr. 61, p. 8. 
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gedelegeerde normering 

Volgens de Memorie van Toelichting zullen de beveiligingseisen worden geregeld in een 
amvb op grond van artikel 26 Wbp. 

Het CBP dringt er wederom' op aan dat daarin referenties aan de specifiek voor de zorg 
ontwikkelde beveiligingsnormen J worden opgenomen. Daarnaast lijkt het zeer gewenst 
mede gezien het hiervoor opgemerkte ten aanzien van elektronische inzage, dat zo n amvb 
op zijn laatst gelijktijdig met het onderhavige wetsvoorstel in werking treedt. 

ƒ toestemming (artikel 23 Wbp; artikel 7:457 BW) 

De zorgaanbieder stelt gegevens via een elektronisch uitwisselingssysteem alleen aan 
anderen beschikbaar indien de patiënt hiervoor toestemming heeft gegeven (artikel 23a lid 1 
Wcz/ artikel 15a lid 1 Wbsn-z). Daarbij kan de patiënt bepaalde (categorieën van) 
zorgaanbieders uitsluiten van raadpleging (artikel 23a lid 2 Wcz/artikel 15a lid 2 Wbsn-z). 

Het CBP wijst erop dat het hier gaat om "uitdrukkelijke" toestemming (artikel 23 lid 1 sub a 
Wbp) en dat de toestemming een vrije, specifieke en op informatie berustende wilsuiting 
dient te zijn. Voor een invulling van deze vereisten zie WP 131 p, 8-9. 

3. Conclusie 

Het CBP adviseert u derhalve: 

- in de redactie van artikel 23c lid 2 Wcz/artikel 15d lid 2 Wbsn-z danwel in de Memorie van 
Toelichting de verhouding van dit artikel tot het (bestaande) artikel 7:454 lid 2 BW te 
verduidelijken, opdat het onderscheid tussen de gegevens die de zorgverlener noteert en de 
aanvullingen van de patiënt onverminderd helder blijft, 

- in de boven bedoelde amvb referenties aan de specifiek voor de zorg ontwikkelde 
beveiligingsnormen NEN 7510-7513 op te nemen en aandacht te schenken aan de 
beveiligingsaspecten van elektronische inzage, en 

- in de Memorie van Toelichting in te gaan op de overige door het CBP gemaakte 
opmerkingen. 



4 Zie CBP Advies aan de minister van VWS inzake wijziging Wet gebruik bsn-z van 14 juni 2007 
(kenmerk: z2007-577), p. 6. 
NEN normen 75W-7513. 
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